UWV laat privégegevens 2400 cliënten uitlekken door verkeerd gestuurde bijlage

Uitkeringsinstantie UWV heeft door een menselijke fout privégegevens van 2400 van zijn cliënten als bijlage naar 96 cliënten gestuurd. De instantie heeft die mensen verzocht het bestand te verwijderen. Het datalek is gemeld bij de Autoriteit Persoonsgegevens.

Het UWV bevestigt het datalek tegenover het Noordhollands Dagblad. De instantie zegt dat het de bedoeling was om 97 werkzoekenden informatie te geven over de opzet van een netwerkcafé, maar bij 96 personen werd een verkeerde bijlage meegestuurd. De bijlage is inmiddels niet meer te openen, maar een aantal mensen die het bericht hebben ontvangen, zouden het bestand wel geopend hebben.

In die bijlage stonden gegevens van 2400 cliënten van het UWV. Het gaat volgens iemand die het bestand heeft ingezien, om namen, geboortedata, burgerservicenummers, informatie over werkloosheidsuitkeringen, opleidingsniveau, het laatste beroep en de laatste werkgever. Mensen waarvan de informatie is uitgelekt, hebben een excuusbrief van het UWV ontvangen.

De instantie heeft aan alle mensen die het bestand hebben geopend, gevraagd om eventueel gemaakte kopieën te verwijderen. Iedereen heeft daar gehoor aan gegeven, zegt een woordvoerder van de instantie tegenover Nu.nl, maar de woordvoerder geeft ook toe dat het UWV niet kan controleren dat dit daadwerkelijk is gedaan.

Het datalek vond volgens de UWV-woordvoerder plaats op 3 augustus en werd op 8 augustus ontdekt. Vervolgens is het binnen 72 uur gemeld bij de Autoriteit Persoonsgegevens.

Door Julian Huijbregts

Nieuwsredacteur

Feedback • 15-08-2018 13:02 205

15-08-2018 • 13:02

205

Lees meer

Gegevens 100.000 inwoners Amersfoort gelekt na hack bij softwareleverancier
Gegevens 100.000 inwoners Amersfoort gelekt na hack bij softwareleverancier Nieuws van 3 december 2024
Datalek bij UWV-site voor werkzoekenden, gebruiker heeft 150.000 cv's ingezien
Datalek bij UWV-site voor werkzoekenden, gebruiker heeft 150.000 cv's ingezien Nieuws van 10 mei 2024
Overheid raakt hdd's met 6,9 miljoen gegevens uit Donorregister kwijt
Overheid raakt hdd's met 6,9 miljoen gegevens uit Donorregister kwijt Nieuws van 10 maart 2020
UWV gaat beleid rond verwerken ziekmeldingen aanpassen na klacht AP
UWV gaat beleid rond verwerken ziekmeldingen aanpassen na klacht AP Nieuws van 1 augustus 2019
Criminelen downloaden 117.000 cv's van UWV via werkgeversaccount - update
Criminelen downloaden 117.000 cv's van UWV via werkgeversaccount - update Nieuws van 3 mei 2019
UWV stelt pas eind 2019 meerfactorauthenticatie in voor online portaal - update
UWV stelt pas eind 2019 meerfactorauthenticatie in voor online portaal - update Nieuws van 30 oktober 2018
UWV gaat verzenden van Excel-bestanden blokkeren in verband met datalek
UWV gaat verzenden van Excel-bestanden blokkeren in verband met datalek Nieuws van 24 september 2018
OM vervolgt man voor computervredebreuk na ontdekking datalek
OM vervolgt man voor computervredebreuk na ontdekking datalek Nieuws van 17 augustus 2018
Kaartautomaten van bussen in Almere waren benaderbaar via TeamViewer
Kaartautomaten van bussen in Almere waren benaderbaar via TeamViewer Nieuws van 15 augustus 2018
Onderzoek: negentien apps voor het tracken van personen bevatten lekken
Onderzoek: negentien apps voor het tracken van personen bevatten lekken Nieuws van 12 augustus 2018
Defensie blokkeert fitness-apps op smartphones na datalek Polar Flow
Defensie blokkeert fitness-apps op smartphones na datalek Polar Flow Nieuws van 9 juli 2018
Persgroep: van minder dan één procent ook bankgegevens uitgelekt bij hack
Persgroep: van minder dan één procent ook bankgegevens uitgelekt bij hack Nieuws van 4 juli 2018
Logius blokkeert 203 DigiD-accounts na MijnOverheid-phishingactie
Logius blokkeert 203 DigiD-accounts na MijnOverheid-phishingactie Nieuws van 29 juni 2018
Orange waarschuwt klanten na diefstal van persoonsgegevens
Orange waarschuwt klanten na diefstal van persoonsgegevens Nieuws van 15 juni 2018
Adresgegevens waren in te zien via PostNL bij retourzendingen webshops
Adresgegevens waren in te zien via PostNL bij retourzendingen webshops Nieuws van 7 juni 2018
AP: UWV liet gevoelige persoonsgegevens beheren door onbevoegden
AP: UWV liet gevoelige persoonsgegevens beheren door onbevoegden Nieuws van 14 november 2017
Meer producten en artikelen
Economie en maatschappij Privacy Autoriteit Persoonsgegevens Datalek Nederland uwv

Reacties (205)

-Moderatie-faq
205
194
103
9
1
29
Wijzig sortering
ries_zuid 15 augustus 2018 22:21
Maak om te beginnen het onmogelijk voor klanten om Excel bijlagen (al dan niet geplaatst op sharepoint) te openen via de werkmap. Daarnaast zou voor de 'gewone' medewerker cq adviseur Werk, het niet meer mogelijk moeten zijn -of in ieder geval veel beperkter- om zo'n beetje alle data wat je wilt vrij eenvoudig uit de verschillende systemen te queryen naar excel bestanden.

[Reactie gewijzigd door ries_zuid op 23 juli 2024 00:08]

xalvo @ries_zuid16 augustus 2018 20:06
Maak om te beginnen het onmogelijk voor klanten om Excel bijlagen (al dan niet geplaatst op sharepoint) te openen via de werkmap.
En waarom? Het delen van data in deze vorm is vele malen veiliger dan dezelfde data per email gewoon toesturen. Nu hebben ze in ieder geval nog achteraf e.e.a. in kunnen trekken.
Daarnaast zou voor de 'gewone' medewerker cq adviseur Werk, het niet meer mogelijk moeten zijn -of in ieder geval veel beperkter- om zo'n beetje alle data wat je wilt vrij eenvoudig uit de verschillende systemen te queryen naar excel bestanden.
Ik lees nergens dat het hier om een gewone medewerker of adviseur werk gaat. De betreffende medewerker kan een legitiem doel hebben gehad om de query te draaien en op te slaan.

Neemt overigens niet weg, aangezien ze toch de omgeving gebruiken, dat ze passende veiligheidsmaatregelen dienen te nemen. Voor een organisatie die (bijzondere) persoonsgegevens in enorme hoeveelheden verwerkt zou je verwachten dat ze data loss prevention toepassen. Bij het delen hadden dan op zijn minst alle alarm bellen af moeten gaan, zo niet een blokkade moeten plaatsvinden.
ries_zuid @xalvo16 augustus 2018 23:02
Er wordt geen gebruik gemaakt van gewone e-mail. Ze gebruiken de werkmap waarin berichten kunnen worden geplaatst. Je kunt een bijlage toevoegen aan een bericht zelf, of een link naar een bestand op sharepoint. Ik zie geen enkele noodzaak waarom een klant een Excel bestand zou moeten krijgen. In de meeste gevallen gaat het om informatie over een banenmarkt, sollicitatietraining, dat soort dingen. Dat kan bijvoorbeeld ook als PDF bestand. Wanneer je ervoor zorgt dat klanten geen Excel bestanden kunnen openen die in het werkmap staan, of als een link naar sharepoint, dan voorkom je al dat een abusievelijk meegestuurd Excel bestand met data van andere klanten kan worden geopend.
xalvo @ries_zuid17 augustus 2018 21:24
en dan staat de info als tabel in een word of pdf bestand, zelfde issue. En een lijstje vacatures zou evt net zo goed in Excel kunnen staan.
Ze moeten m.i. gewoon de info beschermen in welke vorm dat ook is. Met DLP is dat zonder meer mogelijk.
Globefrotter 15 augustus 2018 15:01
Eerlijk gezegd vind ik het wat vreemd dat je blijkbaar zomaar een bijlage kunt creëren met de gegevens van 2400 cliënten en die ook nog kunt cc-en naar zoveel mensen.
In zo'n geval zou extra controle/beveiliging toch wel het minste zijn wat je kunt doen alvorens een bijlage te verzenden. Maar ja, automatisering en overheden is nog nooit een gelukkig huwelijk geweest.
R4gnax
@Globefrotter15 augustus 2018 20:22
Eerlijk gezegd vind ik het wat vreemd dat je blijkbaar zomaar een bijlage kunt creëren met de gegevens van 2400 cliënten en die ook nog kunt cc-en naar zoveel mensen.
Er werd niet eens een bijlage van gemaakt. Een bijlage kun jij - zoals het UWV aangeeft gedaan te hebben - niet after the fact ontoegankelijk maken.

Het moet hier dus gaan om een link naar de lijst van 2400 gegevens die van buitenaf het intranet van het UWV voor derden onbeveiligd toegankelijk is geweest.
TWyk @R4gnax16 augustus 2018 09:20
Een bericht in een werkmap kan het UWV natuurlijk wel verwijderen of intrekken.
Waarschijnlijk zelfs als je het bericht al een keer geopend hebt.
Alleen mensen die bewust een kopie van de bijlage lokaal hebben opgeslagen zullen deze dan nog kunnen hebben.
ETH0.1 15 augustus 2018 13:06
Ben wel benieuwd naar de techniek die ze gebruiken om een email bijlage op afstand onleesbaar te maken, iemand een idee hoe ze dit doen?
JBVisual @ETH0.115 augustus 2018 13:22
Het UWV heeft tegenwoordig documenten in sharepoint staan die ook voor externen te openen zijn indien je een geldige link hebt. Het bestand is dus gewoon ongeldig gemaakt.
CH4OS
@JBVisual15 augustus 2018 13:37
Het UWV heeft tegenwoordig documenten in sharepoint staan die ook voor externen te openen zijn indien je een geldige link hebt. Het bestand is dus gewoon ongeldig gemaakt.
Het bestand bestaat waarschijnlijk dus nog wel, maar is niet meer publiekelijk beschikbaar. Maar dan is het een linkje en geen bijlage.

[Reactie gewijzigd door CH4OS op 23 juli 2024 00:08]

rvanson @CH4OS15 augustus 2018 14:03
Of het document is versleuteld met RMS/AIP.
AuteurXtuv @CH4OS15 augustus 2018 15:00
Bewoording van het artikel even aangepast. Uit de originele bron maakte ik op dat het om een e-mail met bijlage ging, dat is wellicht niet zo.
dasiro @CH4OS15 augustus 2018 13:48
als je met office365 werkt is het standaard behaviour geweest dat bijlages niet meer verstuurd worden, maar achter de schermen als file in onedrive worden gezet.
526735 @dasiro15 augustus 2018 14:20
Ik krijg anders echt de keuze of ik het als bijlage of via OneDrive wil versturen in Outlook Online.
dasiro @52673515 augustus 2018 15:42
nu misschien wel, maar ik heb het ooit anders geweten en als je als gebruiker er niet op let nadat het ooit eens is gewijzigd, dan blijf je er aan vast hangen. Ga er van uit dat het gemiddelde niveau hier niet echt vergelijkbaar is met standaard gebruikers ;)
TweakOverflow @JBVisual15 augustus 2018 13:47
Ik weet niet of dit mij geruststelt.
DigitalExorcist @uiltje15 augustus 2018 14:16
Gevoelens zijn overrated.

Sharepoint op zich is prima en een goede implementatie is zelfs werkbaar.

En dat zeg ik met mijn trackrecord op Microsoft-gebied hier dus dat is wel een ding ;-)
Crawl NL @DigitalExorcist15 augustus 2018 14:31
Gevoelens zijn overrated.
:| Onze kennis wordt door Mo Gawdat (Chief Business Officer @ Google) ook wel de ‘arrogantie’ cyclus genoemd.

[Reactie gewijzigd door Crawl NL op 23 juli 2024 00:08]

YopY @uiltje15 augustus 2018 15:42
Wat zijn de alternatieven?
Bergen @YopY16 augustus 2018 02:07
Voor het delen van bestanden? Gewoon een network share. Dan mis je wel wat features (zoals versiebeheer en het in- en uitchecken) maar je hebt geen last van de quirks die je soms met Sharepoint hebt. Waar ik het meest last van heb is dat Sharepoint soms meldt dat ik een bestand al in gebruik heb (bijvoorbeeld een Excel-sheet) wanneer ik het probeer te openen, en vervolgens kun je je eigen sheet dus niet editten. En wat ik al een paar keer ben tegengekomen is dat ik een sheet probeer op te slaan vanuit Excel, maar doordat ik tijdens het editten op en VPN ben ingelogd is de Sharepoint server niet bereikbaar (overlap van IP-ranges...). Excel meldt keurig dat de Sharepoint server niet bereikbaar is. Ok, begrijpelijk. Maar zodra ik dan op OK klik crasht Excel. De recovery gaat prima zodra je Excel dan weer start, maar het voelt een beetje buggy.
SMD007 @ETH0.115 augustus 2018 13:08
waarschijnlijk zat er een weblink in de mail en is de link ongeldig gemaakt.
ETH0.1 @SMD00715 augustus 2018 13:11
Daar dacht ik in eerste instatie ook aan, maar het artikel heeft het over 'een bijlage' en een woordvoerder heeft het over 'de verzendlijst bijgesloten.'
Myliobatis @ETH0.115 augustus 2018 13:15
In de link naar het Noordhollands Dagblad staat het duidelijker omschreven. "De mail kwam terecht in de werkmap", omgeving van het UWV waar je moet inloggen met DigiD, dan zal daar dus ook het document verwijderd zijn. Het document zat dus niet als directe bijlage in een e-mail.
stresstak @Myliobatis15 augustus 2018 13:59
Maar is het niet vreemd dat 1 document klaar staat voor 96 klanten.? Dan krijgen die 96 klanten toch toegang tot hetzelfde document. Degene die het document samenstelt zet bewust gegevens van 2400 personen in dat ene document en stelt het beschikbaar. Controle: nul.
SuperDre @Myliobatis15 augustus 2018 18:50
Dan is het dus weer gewoon pure clickbait/mediahype, want er is dan helemaal geen bijlage geweest.
WillySis
@SuperDre15 augustus 2018 20:02
Binnen de werkmap worden dit soort berichten wel "bijlage" genoemd. Het is echter een link naar een bestand op de server van het UWV.
Een mediahype vind ik het beslist niet. Mensen hebben inzage gehad is een adressenlijst die nogal "gevoelig" kan zijn. Het is nu snel ontdekt, maar 2400 mensen hebben gewoon toegang gekregen tot een lijst die ze niet horen te zien. Gelukkig is dit ontdekt nadat nog maar 96 mensen dit bestand bekeken hadden.
Dit valt in de categorie "grove nalatigheid", waar best een boete op mag komen te staan en een beloning voor de mensen die de fout netjes hebben gemeld bij het UWV. De persoon dit veroorzaakt mag best eens een uitbrander krijgen. Wanneer je als "klant" van het UWV iets verkeert doet, moet je ook gelijk een deel van je uitkering inleveren.
Jack Flushell @WillySis15 augustus 2018 20:32
Klopt niet hoor wat je daar zegt.
  • Naar 97 Mensen een "bijlage"gestuurd
  • Naar 96 van deze 97 mensen de verkeerde
  • Een paar van deze 96 hebben ook daadwerkelijk gekeken.
  • In de bijlage de gegevens van 2400 mensen.
WillySis
@Jack Flushell15 augustus 2018 21:09
Zoals je het op Tweakers leest klopt het wat je schrijft, maar in de krant (noordhollands dagblad) staat dat alle 2400 mensen hetzelfde bericht, inclusief de bijlage in de werkmap hebben gekregen. Dit is ook logisch, want het bericht wordt maar één keer gemaakt en vervolgens in alle 2400 mailboxen geplaatst. HeT UWV belooft wel maatwerk, maar in de praktijk gaat het vaak om grote groepen en die worden echt niet individueel behandeld.
SMD007 @ETH0.115 augustus 2018 13:13
Ja had ik ook gelezen, maar ik ga maar gewoon uit van een vertaalslag fout. voor een leek is waarschijnlijk een weblink of bijlage het zelfde.
Wannial @ETH0.115 augustus 2018 13:39
Met bijvoorbeeld O365 EMS kan je mensen rechten geven om documenten in te zien, deze rechten kan je intrekken, ook op afstand. Als je slim denkt te zijn en het document offline wilt bekijken dan gaat dit niet, of maar voor een beperkte tijd als je admin dit zo ingesteld heeft.
OmeJoyo @Wannial15 augustus 2018 14:04
Je kan dan altijd nog copy/pasten, of screenshot of foto's van je scherm maken, al zul je de eerste 2 wel kunnen beperken voor de leek. Helaas dus nooit waterdicht, maar dat kan je ook niet verwachten. Bij mijn huidige en vorige werkgever word data in zo'n situatie dan ook altijd als definitief uitgelekt beschouwd.
Wannial @OmeJoyo15 augustus 2018 15:23
Copy/paste is natuurlijk uit te zetten door de admin.
Een screenshot maakt krijg je een mooui zwart vlak te zien.
Je kan wel een foto maken natuurlijk...

Maar als dat gebeurt heb je wel grotere problemen in je organisatie. EMS is bedoelt als tracking en management tool, het voorkomt perongeluk lekken. Als mensen er foto's van gaan maken moet je je bedenken of het nog perongeluk is
ManiacsHouse @ETH0.115 augustus 2018 13:17
Het was (volgens het artikel in ND) geen mail verstuurd naar een email-adres, maar een mail/bericht in de zg werkmap op werk.nl. UWV kan hierin bestanden en berichten plaatsen én verwijderen wanneer ze willen (of hoe het hun uitkomt...). Altijd al raar systeem gevonden. Zelf kon je niks verwijderen of aanpassen, maar UWV kon dat dus wel. Komt ze nu goed uit, maar in verleden toen ik er gebruik van moest maken verdween er weleens een bericht.

[Reactie gewijzigd door ManiacsHouse op 23 juli 2024 00:08]

TWyk @ManiacsHouse15 augustus 2018 13:44
Het gebruik van het werkmap geeft het overheden de mogelijkheid om relatief veilig berichten te sturen en er kan gecontroleerd worden of mensen hun berichten gelezen hebben.
Met name bijvoorbeeld beslissingen waarbij een burger tegen de beslissing in beroep kan gaan moeten ofwel via de post ofwel via zo'n beveiligd kanaal verstuurd worden.
Het UWV stuurt als uitkeringsorganisatie veel van dergelijk berichten en lijkt me dus een aangewezen gebruiker voor een berichtenbox achter DigiD
Uzuhl @ETH0.115 augustus 2018 13:15
Bericht terug trekken in Outlook :+

Het zou volgens conventionele wijze namelijk niet mogelijk moeten zijn, maar dit durf ik niet met zekerheid te zeggen. Daarbij heb ik geen idee of deze gegevens via een bepaald portaal worden verstuurd / ontvangen ipv een mail cliënt.
ro8in @Uzuhl15 augustus 2018 13:23
Bericht terugtrekken werkt alleen als de ontvanger ook outlook heeft en de functie accepteerd. Wanneer je bericht terugtrekken doet in outlook stuurt hij gewoon een extra email met instructies aan outlook om een bepaald bericht te verwijderen.
Uzuhl @ro8in15 augustus 2018 14:44
Het was ook een grapje zie le clown emoticon.

Het is meer dat er niet echt wegen zijn om een reeds verstuurde bijlage onleesbaar te maken mits de bijlage eerst gedownload moet worden via een portaal zoals gezegd.
AW_Bos @ETH0.115 augustus 2018 13:24
Volgens mij was het een bericht in de Mijn Overheid Berichtenbox.
Dan kan dit eenvoudig worden gedaan. Het lijkt dus niet op een mailtje met attachment.
Ircghost @ETH0.115 augustus 2018 13:25
Hieronder staat al hoe het gebeurd is. Maar dit kan bijvoorbeeld ook vrij makkelijk met Information Rights Management.
Shinoki @ETH0.115 augustus 2018 13:55
Ik vermoed dat ze iets van RMS gebruiken. Vanuit Azure (en o365) Kan je een intrek actie uitvoeren.

https://docs.microsoft.co...tection/what-is-azure-rms
alionfire @ETH0.115 augustus 2018 15:03
Ik werk voor het UWV. Er is geen sprake van "bijlagen" maar gewoon links naar een SharePoint pagina. Die links zijn ongeldig gemaakt, meer is het niet.
ro8in @alionfire15 augustus 2018 20:34
Jaja praat je fout maar snel goed 8)7
alionfire @ro8in15 augustus 2018 21:05
Haha, het is niet mijn fout ten eerste (dit is een andere divisie) en daarnaast praat ik niks goed. Ik geef alleen aan dat er technisch gezien geen sprake is van een "bijlage" zoals we dat kennen.
T!mothy @ETH0.115 augustus 2018 21:36
Toevallig zijn er ook maatregels getroffen ivm privacy op mijn werk (nouja, niet echt toevallig..). Het is alleen zó simpel dat het meer 'risico tot aanklacht indekken is' dan echt zinnig. De privé gegevens worden namelijk ingepakt met wachtwoord, waarna het wachtwoord direct naar hetzelfde adres wordt verstuurd. Met andere woorden als het e-mail adres niet klopt dat kan de ontvanger de betreffende bestanden alsnog uitpakken. Maarja! Zo hebben wij in elk geval 'voldaan' aan de privacy regelgeving.
adje123 15 augustus 2018 13:04
Kan de besten overkomen. Waar mensen werken worden fouten gemaakt.
Bosmonster @adje12315 augustus 2018 13:06
Waar gewerkt wordt met persoonsgegevens, mogen dit soort simpele fouten niet voorkomen.
F_J_K Forummoderator @Bosmonster15 augustus 2018 13:13
Klopt. En programma’s zouden geen bugs mogen bevatten (zeker niet al het gaat om privacy, veiligheid, geld, zorg, etc.). Netwerken, stroom, water en gas zouden om die reden 100% uptime moeten hebben. Openbaar vervoer en auto’s zouden nooit stil mogen staan. Etc etc etc. Maar dat is volkomen kansloos.

Waar gewerkt wordt, worden fouten gemaakt. Het is zaak om zorgvuldig om te gaan met wat je doet, en om te leren van fouten. Maar fouten gaan er zijn.
Origin64 @F_J_K15 augustus 2018 13:41
Als- ze in de sharepoint de permissies goed hadden gezet op gevoelige bestanden zou dit niet voorkomen. Er zijn nu 2 opties: 1. werknemers houden op hun eigen werkplek onversleutelde documenten met BSN nummers erin bij, die ze via hun eigen sharepoint pagine (onedrive) extern mogen delen, wat een enorm security issue is, of 2. Op hun gedeelde sharepoint is het mogelijk om bestanden met BSN nummers erin met externen te delen, wat een nog groter security issue is.

Dit is geen kwestie van foutje moet kunnen baas, dit is een reden om mensen te ontslaan.

[Reactie gewijzigd door Origin64 op 23 juli 2024 00:08]

Blokker_1999
@Origin6415 augustus 2018 13:50
En waarom zou het nooit mogelijk kunnen zijn om bestanden met BSNs te delen? Om te beginnen zou het ontwikkelen van zo een custom filter weer een hoop tijd en geld kosten en nooit een waterdichte garantie kunnen geven. Daarnaast kan het soms noodzakelijk zijn om die data net wel uit te wisselen met andere, externe diensten.

Zonder meer details te kennen is het ook niet eenvoudig om ook maar enige goede uitspraak te doen over de schuldvraag en al helemaal niet om te zeggen dat de verantwoordelijke dan maar ontslagen moet worden.
Origin64 @Blokker_199915 augustus 2018 13:54
Daarnaast kan het soms noodzakelijk zijn om die data net wel uit te wisselen met andere, externe diensten.
Met die diensten waarvoor het wettelijk is toegestaan om BSNs te delen moet je een aparte overeenkomst sluiten met een data-uitwisselingsprotocol wat garandeert dat die data niet bij de verkeerde personen uitkomt. Het moet voor de rest moelijk genoeg zijn voor werknemers om lijsten met persoonsdata extern toegankelijk te maken, zodat dit niet "per ongeluk" gaat.

Ja, dat kost meer moeite. Dat is waarom veel bedrijven security nalaten. Het is niet makkelijk. Helaas is het nog minder makkelijk om het te negeren want dan zit je zoals nu met gebakken peren, boetes, boze mensen die je niet meer vertrouwen.

Maar zo ontzettend moeilijk is het ook niet. Maak het onmogelijk die excel bestanden via sharepoint extern te delen. Als een werknemer dan willens en wetens hier omheen gaat werken door bijv. een lokale kopie op te slaan en die te mailen, en heb je je werknemers duidelijk geinstrueerd dat dit niet mag, dan schop je die persoon er direct uit. Ongeschikt om met persoonsgegevens te werken.

Of het IT department, vanwege nalatigheid in afdwingen van security protocol, of een werknemer, vanwege willens en wetens bestanden mailen die je niet mag mailen, of anders de directie, vanwege nalaten IT goed op te zetten en werknemers te trainen, is hiervoor verantwoordelijk, en bij 1 van de 2 eersten gaat een kop rollen.

[Reactie gewijzigd door Origin64 op 23 juli 2024 00:08]

Pinkys Brain @Origin6415 augustus 2018 17:03
Hoe wil je externen die het systeem ontworpen en in elkaar geflanst hebben ontslaan? En als ze ook nog eens de eigenaar van de source code zijn en je enige manier om functies toe te voegen ben je helemaal aan ze overgeleverd.

Hoeveel bedrijven compartimenteren op automatiseringsniveau data in plaats van menselijke procedures uit te gaan? Dat is veel te moeilijk allemaal ... BYOD etc, het komt allemaal wel goed.

[Reactie gewijzigd door Pinkys Brain op 23 juli 2024 00:08]

Origin64 @Pinkys Brain15 augustus 2018 17:31
Sharepoint werkt op een bepaalde manier, je moet het inrichten zodat het in je organisatie past, of een ander pakket afnemen van een andere leverancier dan MS. Er is niets 'in elkaar geflanst of ontworpen door externen' aan de code van sharepoint. Althans, ongeveer even veel als bij alle MS producten.

Hooguit je inrichting van de mogelijkheden binnen sharepoint in je organisatie is in elkaar geflanst, en daarvan ben je zelf eigenaar.

[Reactie gewijzigd door Origin64 op 23 juli 2024 00:08]

MSalters
@F_J_K15 augustus 2018 13:46
In de praktijk zie je dus ook realistische normen voor fouten. Telefoonnetwerken hebben uptime eisen van 99.999%, individuele masten 99.9%. En dat is niet alleen vanwege fouten; die 0.001% marge moet gedeeld worden met overmacht.

Ook voor datalekken zou je dus dit soort normen moeten stellen. Minder dan 1 op de miljoen verzonden berichten zou verkeerde privé-gegevens moeten bevatten, minder dan 1 op de miljard privé-gegevens berichten zou gegevens van 10+ personen moeten bevatten. De norm hier is vrij streng, ja. Bij stroomuitval is de schade typisch beperkt tot de onhoud van wat ijskasten. Maar gelekte data kun je lastig "ont-lekken".
be3a18 @F_J_K15 augustus 2018 13:45
Het probleem (van de mensheid in het algemeen) is dat mensen op een of andere manier niet leren van eerder gemaakte fouten. Betrap ik mezelf ook wel eens op. Tegen jezelf zeggen. Dit gebeurt me niet nog eens. En na een paar maanden of een jaar, ja hoor, gaan we weer.
Als mensen echt zouden leren van hun fouten zou de wereld er een stuk beter uit zien.
Ik vrees dat we hiermee moeten (leren...) leven.
loki504 @Bosmonster15 augustus 2018 13:15
Zelfs waar mensen levens op het spel staan worden simpele fouten gemaakt. En ik vind mijn leven toch echt belangrijker als mijn gegevens.
Razesdark @loki50415 augustus 2018 13:18
Ik wist niet dat we moesten kiezen tussen 1 van de 2
MrFax @Razesdark15 augustus 2018 13:25
Hij bedoelt dat er genoeg fouten worden gemaakt bij bijvoorbeeld een operatie in een ziekenhuis, je wilt liever niet dat die fouten gemaakt wordt maar zelfs een chirurg is een mens.
neboekadnezar @Bosmonster15 augustus 2018 13:08
Precies! Consequentie zou moeten zijn: ontslag op staande voet. Kijken hoe vaak het dan nog voorkomt.
Keypunchie
@neboekadnezar15 augustus 2018 13:18
Precies! Consequentie zou moeten zijn: ontslag op staande voet. Kijken hoe vaak het dan nog voorkomt.
Als je dat gaat doen, dan krijg je een totaal verlamde organisatie. Niemand die nog meer iets durft te doen.
En wanneer er dan iets mis gaat, dan houdt men stijf de mond en wordt er niets van geleerd.

Veel belangrijker dan straffen is: leren zowel de medewerkers als de organisatie van hun fouten?
MSalters
@Keypunchie15 augustus 2018 13:52
Dat is een non-argument. Uiteraard ontsla je ook de mensen die niets meer uitvoeren.

Je hebt gelijk als je je afvraagt of medewerkers en de organisatie leren van hun fouten, maar dan moet je ook de vraag durven stellen wáárom ze leren van hun fouten. Als er geen consequenties aan fouten verbonden zijn, dan is er ook geen reden om fouten te voorkomen. En je kunt met medewerkers ook niet de peuter-aanpak gebruiken om alles te belonen wat goed gaat. In een professionele organisatie moet goed de vanzelfsprekende norm zijn.
Keypunchie
@MSalters15 augustus 2018 15:21
Daar ben ik het mee oneens.

Individuele medewerkers ga ik van uit dat ze naar hun kunnen proberen te presteren.
. Als er geen consequenties aan fouten verbonden zijn, dan is er ook geen reden om fouten te voorkomen.
Dan geef je werknemers onvoldoende eigenaarschap. Ze willen fouten voorkomen omdat het ontzettend rot is als professional om een fout te maken. En dan maakt het echt niet uit of je barista bent en de verkeerde order serveert, of piloot en het vliegtuig met de verkeerde snelheid laat landen. Allebei de professional balen als een stekker, in mijn ervaring. Als je iemand hebt wie de resultaten van zijn werk niet interesseren, moet je sowieso van die persoon af, maar gelukkig zijn die gevallen zeldzaam (en moet je eens je recruteringsproces gaan doorlichten!).

Een norm kun je afspreken, en "goed" zul je moeten kwalificeren of kwantificeren, maar dat is irrelevant en vooral een managementexercitie. Qua prestaties help je als organisatie jezelf door te erkennen dat er een bepaald foutpercentage zal zijn, ongeacht je norm.

Wanneer iemand zijn verantwoordelijkheid niet neemt (komt stomdronken op werk en drukt op random knoppen bvb.) of bewust fouten maakt (sabotage), dan zitten er uiteraard consequenties aan.

Maar handelt iemand ter goeder trouw en maakt een fout? Dat is inherent aan werk en taak van een organisatie als geheel om aan te werken.

In de praktijk draai ik het zelfs om: Ik maak me altijd zorgen als mijn medewerkers te lang geen fouten maken. Dat betekent namelijk dat ze niets aan het doen zijn dat er toe doet.
Maakt iemand aan de lopende band fouten, dan vind ik het ook mijn verantwoordelijkheid, want dan heb ik blijkbaar een taak gegeven die buiten het kunnen van de medewerker lag.

Wel belangrijk: altijd zorgen dat de impact van een fout zo klein mogelijk is. Iemand zal in bepaalde sittuaties bijvoorbeeld een tikfout maken, maar als er nog een tussenstap zit waarbij de input gecontroleerd wordt, dan wordt hij afgevangen.

Of produktie-changes zoveel mogelijk in kleine, individueel terug te draaien, stukjes opknippen.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 00:08]

stresstak @Keypunchie15 augustus 2018 13:48
En wanneer er dan iets mis gaat, dan houdt men stijf de mond en wordt er niets van geleerd.
Verzwijgen helpt niet als je persoonsgegevens aan 96 mensen stuurt. Er zijn wel maatregelen te bedenken. Een aantekening in je personeelsdossier, een functioneringsgesprek en drie jaar geen promotie of salarisverhoging. Of stokslagen.
Keypunchie
@stresstak15 augustus 2018 14:54
Verzwijgen helpt niet als je persoonsgegevens aan 96 mensen stuurt.
Nee, maar bij andere fouten wel. Als je super-repressief bent m.b.t. fouten, is de prikkel aan medewerkers om fouten en bijna-fouten vooral niet te melden en zoveel mogelijk af te dekken.

Twee scenario's:
Bedrijf A: geeft stokslagen. Medewerker 1 maakt een klein foutje, dekt het af. Medewerker 2 maakt hetzelfde kleine foutje, dekt het af. Medewerker 3 maakt dezelfde fout, maar nu voor een hele batch in plaats van een individueel geval. Het bedrijf verliest 100.000 en komt slecht in de pers, Medewerker 3, verder een competente persoon, wordt ontslagen. Een nieuwe medewerker, 4, moet worden aangenomen en ingewerkt, waardoor medewerker 1 en 2 worden overbelast en nog net iets meer kleine foutjes maken. Uiteindelijk trekt medewerker 2 de stress niet meer en gaat in de ziektewet, medewerker 1 zoekt een nieuwe baan.

Bedrijf B: Probeert van fouten te leren. Medewerker 1 maakt een klein foutje, vertelt het. Medewerker 2 maakt hetzelfde kleine foutje en ze signaleren dat het systeem wel erg foutgevoelig is. Er wordt een extra controlestap in het proces ingevoerd. Medewerker 3 maakt bijna dezelfde fout, voor een hele batch, maar de controlestap slaat alarm. Medewerker 3 corrigeert zijn handeling tijdig. Het bedrijf verliest *geen* 100.000 euro. Medewerker 3 blijft gewoon lekker in dienst, meld zijn near-miss bij het volgende team-overleg en het team evalueert dat de controlestap een goed middel is geweest en bedenken nog wat plekken waarin dat het proces zou kunnen helpen.

Een beetje overdreven misschien, maar niet eens zo heel ver van de praktijk. En nu hebben we het "maar" over persoonsgegevens. In bijvoorbeeld de luchtvaart gaat het om mensenlevens.

En daarom is een 'Just Culture', waarbij erkend wordt dat er fouten gemaakt zullen worden, zo belangrijk.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 00:08]

Origin64 @Keypunchie15 augustus 2018 17:46
Helaas is dit niet realistisch. Mensen verzwijgen kleine foutjes, "near misses" zo je wilt, sowieso, al is het maar om de tijd te besparen die nodig is het te bespreken met de baas, wat de meeste mensen btw als vervelend ervaren, of de tijd die het papierwerk kost. Zelfs op grote bouwprojecten waar expliciet wordt geinstrueerd het te melden, verzwijgen mensen continu near misses.

Dat valt niet op. Het is moeilijk te controleren zonder dat je zelf 24/7 op de werkvloer rondloopt. Het wordt pas gemerkt als zoals nu 100 mensen prive data krijgen toegestuurd van honderden andere mensen, of in het geval van de bouwplaats als er iemand overlijdt. Op dat moment ben je al bij jouw stap waar je als bedrijf 100.000 euro zou verliezen. Nu betreft het hier een overheidsinstantie, die verliezen hooguit het vertrouwen van de burger. Maar het verlies is er. De enige vraag die dan resteert is: wat is de passende straf voor deze medewerker? En wie is er in welke mate verantwoordelijk? Is de organisatie zelf ook nalatig geweest? Hadden ze die extra controle stap van tevoren kunnen verzinnen? Wat voor boete moet de organisatie dan krijgen? Welke maatregelen moeten ze nemen om herhaling te voorkomen?

Erkennen dat je fouten maakt is leuk, consequenties aan fouten stellen is ook belangrijk. Niet alleen voor individuen maar ook voor organisaties als geheel.

In het ideale geval zou jouw oplossing werken, maar je kunt er niet vanuit gaan dat iedereen de regels volgt. Je moet het systeem zo ontwerpen dat er een flinke drempel is tegen misbruik, of dit nu bewust of onbewust gebeurt.

[Reactie gewijzigd door Origin64 op 23 juli 2024 00:08]

Keypunchie
@Origin6415 augustus 2018 18:14
Niet realistisch? Dit proces ben ik in meegegaan in een van de grootste IT-werkgevers van Nederland en heeft daar een meetbare reductie in verstoringen gebracht.

Just Culture is volkomen ingeburgerd in de luchtvaart en in de petrochemie.

Je hebt wel managementsteun nodig, dat wel. Maar als die er is kunnen de grootste brokkenorganisaties super probleemvoorkomend worden.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 00:08]

Origin64 @Keypunchie15 augustus 2018 18:19
Ja, om het aantal verstoringen terug te brengen is het nuttig, maar het is geen ding om een security policy op te baseren. "Meldt het als er gegevens lekken." Dat op zich is niet voldoende. Er moeten van tevoren ook maatregelen genomen worden om te garanderen dat geen gegevens gelekt worden naar de verkeerde personen. Dat is bij het UWV waarschijnlijk niet goed gedaan. Je kunt die verantwoordelijkheid niet alleen leggen bij medewerkers die fouten maken, het systeem staat dan die fouten toe. Dat kan de organisatie best van te voren bedenken, of het systeem testen, maar ja dat kost geld...

[Reactie gewijzigd door Origin64 op 23 juli 2024 00:08]

Wim-Bart @stresstak15 augustus 2018 14:05
Onzin, de daadwerkelijke dader die gestraft moet worden is de verantwoordelijke die er voor gezorgd heeft dat de betrokken medewerker toegang had tot deze gegevens en daar ook nog een bijlage van kon maken.
stresstak @Wim-Bart15 augustus 2018 14:09
Het is een medewerker. Het zal zijn taak zijn persoonsgegevens te behandelen, brieven en bijlages te versturen en nog zo wat. Maar de maatregelen die ik voorstel blijven hetzelfde ongeacht wie jij en ik verantwoordelijk houden.
burne @neboekadnezar15 augustus 2018 13:13
Wat heb je liever: mensen die van fouten leren of mensen die nog geen fout gemaakt hebben en dus waarschijnlijk jong en onervaren zijn, of gewoon niets doen, want als je niets doet kun je het ook niet fout doen..
LogiForce @burne15 augustus 2018 13:20
Liever helemaal geen persoonsgegevens die opgeslagen staan op servers die aan het internet hangen, dat zie ik liever.
Vroeger hoorde je nooit over het lekken van persoonsgegevens tenzij een paspoort gestolen was of dergelijke. Niet alles is in deze digitale tijd beter, en dit is zeker een ding.
Crazy D @LogiForce15 augustus 2018 13:36
Of je hoorde er gewoon niets over.......
LogiForce @Crazy D15 augustus 2018 14:55
Dat ook misschien. Misschien is dat soms ook maar beter ook, want net als DdeM hieronder zegt men moet zich tegenwoordig overal tegenaan bemoeien.
Als dit gewoon met de betrokkenen zou zijn opgelost in het privé (medewerkers en cliënten) dan zou het ook klaar zijn.

Maar een iedere ICT'er weet dat het gewoon een kwestie van tijd is dat een systeem een keer gehackt word. Zolang het aan het internet hangt kunnen criminelen vanuit de hele wereld en vanuit hun luie stoel een gokje wagen.
Zouden bepaalde zaken slechts alleen op papier verwerkt worden, of via interne niet aan het WAN hangende netwerk, dan zou iemand met criminele neigingen eerst zich fysiek toegang moeten verschaffen tot de archieven of de desbetreffende systemen. Dat zou dus een AANZIENLIJKE kleinere groep criminelen betreffen, want je hebt het dan alleen over lokale criminelen en niet wereldwijde met hun luie stoel. ;)
JorisM @Crazy D15 augustus 2018 15:08
Of was er nog geen internet :+
DdeM @LogiForce15 augustus 2018 13:50
Eh, ik heb nog nooit iets gehoord als iemand z'n paspoort gejat wordt hoor? Noch als dit in mijn mogeving gebeurd, laat staan als het die van een compleet vreemde betreft.

In 1 ding heb je gelijk, niet alles in deze digitale tijd is beter, de snelle verspreiding van informatie is daar somtijds een goed voorbeeld voor. Vroeger werden dit soort menselijke fouten gewoon met de betrokkenen opgelost, maar nu moet iedereen er even overheen plassen.
MrFax @LogiForce15 augustus 2018 13:52
Er zijn honderden systemen die met persoonsgegevens aan het internet verbonden staan, zoals DigiD, MijnOverheid, et cetra. Het is alleen nog niemand gelukt om een van deze systemen te hacken, en zelfs dan is alles versleuteld zonder het wachtwoord.

[Reactie gewijzigd door MrFax op 23 juli 2024 00:08]

SMD007 @neboekadnezar15 augustus 2018 13:12
Met ontslag ontsla je de veroorzaker van het datalek, maar los je het probleem niet op. soort van pleister plakken op een botbreuk.
adje123 @neboekadnezar15 augustus 2018 13:12
Haha, man man. Serieus?
neboekadnezar @adje12315 augustus 2018 14:30
Nee :+
Rolfie @neboekadnezar15 augustus 2018 14:09
Waarna de recht dit meteen weer terug draait.
SuperDre @neboekadnezar15 augustus 2018 18:46
Ook dan zal het nog steeds gewoon voor komen, want fouten worden nu eenmaal gemaakt, hoe goed je soms ook probeert op te letten. Zaak is dat het zo moeilijk mogelijk wordt gemaakt om zulke fouten te maken.
dakka @neboekadnezar15 augustus 2018 22:55
kijken hoeveel goede werknemers je nog kan aannemen met een constante bijl van ontslag boven het hoofd hangt, en de gene die er werken niet van de stress fouten gaan maken
Anoniem: 998261 @neboekadnezar15 augustus 2018 13:38
Ik lach me rot als mensen die dit soort dingen roepen zelf het slachtoffer worden van zo'n idioot idee. O wacht, jij maakt natuurlijk nooit fouten.
Shmotten @warcow15 augustus 2018 13:27
Medewerkers van het UWV zijn geen ambtenaren.
TWyk @Shmotten15 augustus 2018 13:51
Straks worden ze dat wel:
https://www.binnenlandsbe...rmalisering.9582015.lynkx
Maar dan zijn ambtenaren ook eigenlijk gewone werknemers met vrijwel dezelfde rechten en plichten zoals de UWV'ers nu al zijn.

[Reactie gewijzigd door TWyk op 23 juli 2024 00:08]

DdeM @Shmotten15 augustus 2018 13:56
Het UWV is een overheidsinstelling. Derhalve zijn persooneelsleden zeker wel ambtenaar. Fun fact: de meeste vuilnismannen zijn ook ambtenaar.
wildhagen
@DdeM15 augustus 2018 14:04
Het UWV is een overheidsinstelling. Derhalve zijn persooneelsleden zeker wel ambtenaar. Fun fact: de meeste vuilnismannen zijn ook ambtenaar.
Onjuist. UWV-werknemers zijn op dit moment geen ambtenaar. Dat worden ze pas in 2020, zie https://www.binnenlandsbe...rmalisering.9582015.lynkx.

Zelfde geld voor andere (semi-)overheidsorganen als TNO en SVB enzo. Ook dat zijn (nog!) geen ambtenaren.

Dat iemand voor de overheid werkt maakt iemand nog niet automatisch een ambtenaar. Daarvoor moet je namelijk aangesteld worden, en dat is bij mensen van UWV (en TNO, SVB etc) niet gebeurd. Net zoals ze ook geen ambtseed hebben afgelegd.

[Reactie gewijzigd door wildhagen op 23 juli 2024 00:08]

DdeM @wildhagen15 augustus 2018 14:15
Yup wou net mij post aanpassen. Ik dacht dat het deze wet dit jaar al was ingegaan.
SED @warcow15 augustus 2018 13:27
Een broodje aap aan de borreltafel. Terug naar geenstijl met dit soort ongein.
Zer0 @Bosmonster15 augustus 2018 13:34
Waar gewerkt wordt met persoonsgegevens, mogen dit soort simpele fouten niet voorkomen voor komen.
Snel gemaakt, zo een simpele fout...
Galan @Bosmonster15 augustus 2018 14:14
Jij bent dus perfect? Jij maakt nooit fouten?
Jij kan ook alle mogelijke fouten voorkomen?
Zoals normaal staan de beste stuurlui aan wal en wanen zich onoverwinnelijk ten opzichte van de rest.
Horatius @adje12315 augustus 2018 13:09
Duizenden bsn's zouden nooit zomaar mogen uitkomen, waar mensen met privacy gevoelige informatie werken moet foutcontrole zitten op significante gegevens. 1 bsn oke, 10 misschien, 2400 nee zou nooit mogen hebben gebeuren of gekund mogen hebben.
latka @Horatius15 augustus 2018 13:12
Ach, de KVK lekt er een paar miljoen in de vorm van BTW nummers van ZZP'ers. Dus dan is dit klein bier.
CUnknown @latka15 augustus 2018 13:20
Is dat nog steeds niet veranderd? :O Ik zou zeggen dat de AP daar direct boven op zou zitten sinds dat de AVG in werking is getreden.
eborn @CUnknown15 augustus 2018 13:27
Zie de berichtgeving rondom dit onderwerp. AP heeft daarvan gezegd dat het niet wenselijk is, maar heeft de belastingdienst ook uitstel gegeven.
SED @CUnknown15 augustus 2018 13:28
Ze zijn er nu officieel op aangesproken. Actie moet nog plaatsvinden.
scsirob @CUnknown15 augustus 2018 14:13
Twee maanden terug BTW op zonnepanelen uit 2013 teruggevraagd. Moet je ook 'ondernemer' voor worden. Ik vond het toegekende BTW nummer een feest van herkenning..
Origin64 @Horatius15 augustus 2018 13:38
Zelfs 1 nummer zou te veel zijn. Die moeten gewoon alleen toegankelijk zijn vanaf het bedrijfsnetwerk met een geautoriseerde bedrijfsaccount. Het moet niet mogelijk zijn voor werknemers om deze autorisaties aan te passen.

Als je dan de verkeerde bijlage opstuurt krijgt de ontvanger simpelweg "toegang geweigerd" terug van je sharepoint.

Dat dit uberhaupt mogelijk is, is zeer ernstig. Het betekent dat ze niet hebben nagedacht over security.

[Reactie gewijzigd door Origin64 op 23 juli 2024 00:08]

R4gnax
@Origin6415 augustus 2018 20:05
Dat dit uberhaupt mogelijk is, is zeer ernstig. Het betekent dat ze niet hebben nagedacht over security.
Het betekent in elk geval dat de dataverwerking van het UWV niet in lijn is met artikel 25 van de AVG, en daarmee heeft volgend uit artikel 82 eenieder die hierdoor getroffen is wettelijk de mogelijkheid om schadevergoeding te eisen.

Als je als getroffende de assistentie van een screening dienst voor het voorkomen van identiteitsfraude wilt inschakelen, bijv. Het gaat hier tenslotte wel over het lekken van een complete set persoonsgegevens, incl. BSN. Dat is heel fraude-gevoelig.

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:08]

TWyk @R4gnax16 augustus 2018 09:30
daarmee heeft volgend uit artikel 82 eenieder die hierdoor getroffen is wettelijk de mogelijkheid om schadevergoeding te eisen.
Niet iedereen die getroffen is kan een schadevergoeding krijgen volgens artikel 82 van AVG.
Alleen mensen die daadwerkelijk schade hebben.
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
Uit de informatie in het artikel blijkt op zichzelf nog geen schade voor de betrokkenen.
Dat zou bijvoorbeeld vereisen dat iemand van die 97 mensen die de gegevens ten onrechte heeft ontvangen met die gegevens onrechtmatig gaat handelen om de betrokken personen schade te doen.

[Reactie gewijzigd door TWyk op 23 juli 2024 00:08]

R4gnax
@TWyk17 augustus 2018 18:24
Uit de informatie in het artikel blijkt op zichzelf nog geen schade voor de betrokkenen.
Dat zou bijvoorbeeld vereisen dat iemand van die 97 mensen die de gegevens ten onrechte heeft ontvangen met die gegevens onrechtmatig gaat handelen om de betrokken personen schade te doen.
Als iemand kosten maakt om bijv. extra bescherming tegen identiteitsfraude aan te vragen, dan is dat - voor zover ik kan achterhalen, in elk geval - financiële schade ten gevolge van. Er staat ook niet 'direct ten gevolge van' geschreven.

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:08]

TweakOverflow @adje12315 augustus 2018 13:10
Daarom is het bij sommige bedrijven handig om DLP (Data Loss Prevention) te configureren en te gebruiken. Zeker bij zulke grote partijen zou je dit wel verwachten..
ViperXL @TweakOverflow15 augustus 2018 13:24
Dat dacht ik dus ook direct, gebruiken ze geen Information Rights Management of dergelijke? Dit moet toch toe te passen zijn.
Botmeister @TweakOverflow15 augustus 2018 14:01
Precies dit. Er wordt blijkbaar nog niet veel gebruik gemaakt van de Security & Compliance mogelijkheden van Office365. Ik browse in mijn omgeving even naar S&C > DLP en copy-pasta van de page header: "Use data loss prevention (DLP) policies to help identify and protect your organization's sensitive information. For example you can set up policies to help make sure information in email and docs isn't shared with the wrong people." Het kan ook allemaal nog geïntegreerd worden met het Office pakket zodat je een nieuwe knop in je lint krijgt om "volgen" aan/uit te zetten. De functionaliteit staat, maar inzetten blijkt toch altijd lastig.
Dograver @adje12315 augustus 2018 13:09
Tot jouw huisarts in het dorp waar je woont ineens een dossier opstuurt naar 100 andere clienten waarin staat dat je al 4 keer chlamydia hebt opgelopen. De meest recente keer was 4 maanden terug terwijl je een relatie hebt van 8 jaar. En je hebt het zeg maar NIET van je eigen vrouw.

Ja, kan de besten overkomen. Maar het mag gewoon niet gebeuren.
Bovenstaande is misschien off-topic en ook zeer overdreven, maar die naïviteit en lethargische houding daar is echt wat mis mee.
Daarmee doel ik niet op jou persoonlijk maar in het bedrijfsleven algemeen. Aah joh dat overkomt ons
niet.
Er zijn legio technische mogelijkheden om dit tegen te gaan. Zet ze dan in!

[Reactie gewijzigd door Dograver op 23 juli 2024 00:08]

gjmi @Dograver15 augustus 2018 13:17
compleet verkeerd voorbeeld.

Hier gaat het om gegevens waarmee je heel eenvoudig identiteitsfraude kunt plegen, en daar krijg je, zonder dat je er zelf iets aan hebt kunnen doen, veel gedoe van.

Dat de wereld krijgt te weten dat je regelmatig geslachtsiektes hebt (wat te danken is aan je eigen gedrag en je wel iets aan kunt doen), is juist info die we graag horen als waarschuing voor iedreen met wie je in bed duikt.
Dograver @gjmi15 augustus 2018 13:46
Het moge duidelijk zijn dat je de strekking van mijn statement over de huisarts niet helemaal begrijpt.

Het gaat niet om de identiteitsfraude of misbruik van medische gegevens. Dat is niet mijn punt.
Het gaat mij om de kortzichtige reactie van "het kan de besten overkomen".
Iemand met die instelling komt bij ons in het bedrijf niet binnen. Wij zitten zelf midden in de medische gegevens. Maar of het nu medische gegevens zijn (waar ook het toezicht mega streng is) of overige persoonsgegevens zoals BSN/rekeninggegevens. Dit soort data mag gewoon niet op straat komen te liggen.

Er zijn legio technische mogelijkheden om dit soort zaken tegen gebruikersfouten te beschermen maar als je ze niet inzet. Beetje onder het mom van als het kalf verdronken is....

[Reactie gewijzigd door Dograver op 23 juli 2024 00:08]

Zer0 @Dograver15 augustus 2018 14:22
Er zijn legio technische mogelijkheden om dit soort zaken tegen gebruikersfouten te beschermen maar als je ze niet inzet
Er is geen enkele "technische mogelijkheid" die 100% tegen menselijke fouten kan beschermen.
Dograver @Zer015 augustus 2018 14:49
Nee dat klopt inderdaad. Dat moet iets genuanceerder
gjmi @adje12315 augustus 2018 13:39
Dit mag de beste zelfs niet overkomen. Het is een proffessionele instantie die continu met deze gegevens werkt, dan zou je je extra bewust moeten zijn van de gevolgen.

Met deze gegevens kun je identiteits fraude plegen. En dat kan serieuze dramatische gevolgen hebben voor diegene van wie de gegevens zijn.

[Reactie gewijzigd door gjmi op 23 juli 2024 00:08]

Wim-Bart @adje12315 augustus 2018 14:01
Hoe kan iemand die algemene mailings doet bij deze gegevens. Er is duidelijk wat mis bij deze instantie op het gebied van informatie verzorging, toegang tot gegevens en autorisatie.
R4gnax
@Wim-Bart15 augustus 2018 20:10
Hoe kan iemand die algemene mailings doet bij deze gegevens. Er is duidelijk wat mis bij deze instantie op het gebied van informatie verzorging, toegang tot gegevens en autorisatie.
Het is (semi-)overheid; dus het zou niemand mogen verbazen.

Maar ja: Het UWV is een beetje een organisatie in een categorie apart. Één van de meest beruchte instanties waar het echt keer; op keer; op keer gigantische rampen zijn op IT gebied. Kijk maar eens door de jaren heen terug.

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:08]

paoper @adje12315 augustus 2018 13:08
Kan duidelijk gebeuren ja, maar dit bagatelliseert de risico's ervan nog al. Dit is hoogst persoonlijke informatie, en gebeurt vaker dan we te horen krijgen. (Vaak bijvoorbeeld intern per ongeluk gedeeld, maar dat maakt het risico niet minder groot. Bijvoorbeeld als een derde partij ergens al iets van een logger / sniffer malware heeft weten neer te zetten.)

Naar mijn idee is dit een gebied waar blockchain-achtige technieken uitkomst kunnen bieden voor data beheer. Zo zou er bij het manipuleren van data (kopieren, delen, verplaatsen, etc) altijd een trail kunnen zijn van de genomen acties, en kan je altijd in zien we welke data van jou op wat voor manier benadert en daar actie op ondernemen.
Galan @paoper15 augustus 2018 14:19
Blockchain is done and over.
Het is een eindige techniek waar het eind al in zicht is omdat het berust op technische limitaties.
Het probleem is dat niemand het erover heeft vanwegen de grote hype rond blockchain.
Mijn persoonlijk inschatting is dat het binnen 5 jaar uit en over is met blockchain.
Uzuhl @adje12315 augustus 2018 13:16
Ik heb nog nooit een situatie meegemaakt waarbij er 2400 persoonsgegevens in een bijlage zaten.
Als je dit soort werk doet controleer je maar dubbel, dan worden dit soort (inderdaad simpele) fouten niet gemaakt.
4x4 @adje12315 augustus 2018 16:34
Vraag me af of je dat ook blijft denken als jouw gegevens op een later tijdstip zo hard misbruikt worden dan je vroeg in de ochtend door de politie van je bed wordt gelicht. Dit is een hele kwalijke zaak.
adje123 @4x416 augustus 2018 01:07
yup.

Ik leg mij erbij neer dat mijn gegevens door medemensen behandeld worden en dat iedereen een fout kan maken. Er heeft maar 1 perfect persoon ooit op de aardbol rondgelopen en daarna niemand! Iedereen kan fouten maken.
thewiseman 15 augustus 2018 13:06
Eerste reactie is dit zou nooit hebben mogen gebeuren. Wel fijn dat men openheid van zaken geeft.
Dit is misschien wettelijk verplicht maar mn water zegt dat dit lang niet overal gebeurd.
In ieder geval niet publiekelijk.
stresstak @thewiseman15 augustus 2018 14:04
fijn dat men openheid van zaken geeft.
Dit is misschien wettelijk verplicht maar mn water zegt dat dit lang niet overal gebeurd.
Was ik een van de 96 ontvangers dan had je toch een probleem. De openheid van zaken is dan niet van belang.
Ikke_Niels @stresstak15 augustus 2018 17:06
Ik ken toevallig 1 van de 96 ontvangers, die heeft naast het melden bij het UWV op 8 augustus ook direct de autoriteitpersoonsgegevens aangeschreven.

Ik weet daarom ook niet zeker dat UWV dit "zelf" heeft gemeld.
De kans zit erin dat ze zijn opgebeld door de autoriteit persoongegevens met "we hebben een melding gehad, is dit waar?".

Daarnaast in het gelekte document stond naast wat in het nieuws bericht werd genoemd ook zaken zoals: start datum WW, hoe lang de aanspraak op WW is, "scores" (ofwel of iemand gekort wordt op zijn WW). Dus niet een "simpel" adressen bestandje...
R4gnax
@Ikke_Niels17 augustus 2018 18:37
Daarnaast in het gelekte document stond naast wat in het nieuws bericht werd genoemd ook zaken zoals: start datum WW, hoe lang de aanspraak op WW is, "scores" (ofwel of iemand gekort wordt op zijn WW). Dus niet een "simpel" adressen bestandje...
Oftewel: een aardig concreet beeld van de complete situatie, waar niet alleen criminelen in geinteresseerd zouden zijn, maar ook allerlei white-collar louche marketing data-analyse bedrijfjes.

Super...

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:08]

Horatius 15 augustus 2018 13:06
Het probleem is hier dat 2400 clienten zijn uitgelekt, maar is niet een veel belangrijker onderliggend probleem dat iemand met een paar klikken privacy gevoelige informatie van duizenden mensen kan opsturen?
Om aan gegevens te komen in deze masse zou er dan niet nog een beveiligingscheck ervoor moeten zitten voordat dit überhaupt de servers van dit bedrijf verlaat?
WouterL @Horatius15 augustus 2018 13:32
Wat misschien nog veel erger is dat een jaar geleden het UWV in zijn jaarverslag aangeeft 84 datalekken te hebben gerapporteerd waarbij het leeuwendeel aan datalekken het verzenden van persoonsgegevens aan verkeerde adressanten betrof. Het beloofde in dat zelfde verslag maatregelen te nemen.
Helaas geeft dit geen blijk van effectief beleid om de beloofde herhaling inderdaad te voorkomen.
TWyk @WouterL15 augustus 2018 13:49
Bij die datalekken ging het wel met name over fysieke brieven die bijvoorbeeld naar een verkeerd adres of verkeerde persoon verstuurd waren.
Beleid dat je daarop maakt zal weinig effect hebben op een berichtenbox omdat je daar juist heel moeilijk verkeerd kan adresseren.
WouterL @TWyk15 augustus 2018 13:54
Zelfs als je hier op tweakers op het forum zoekt lees je gevallen waar mensen Excel bestanden hebben ontvangen met gevoelige gegevens. Wanneer je bezig bent met persoonsgegevens zoals het BSN-nummer dan moet je je zaakjes gewoon écht ontzettend goed voor elkaar hebben.

Ik citeer een bericht van een tweaker, Maart dit jaar: Hallo allemaal,

''Momenteel zit ik met het volgende;

Vrijdag 23 Maart 2018 heb ik bij het UWV een WW uitkering aangevraagd. Op maandag 26 Maart heb ik een welkoms bericht ontvangen met een bijlage (excel bestand)

In het excel bestand staan de volgende gegevens van mij en van nog negen andere personen:
- BSN nummer
- Achternaam
- Postcode
- Woonplaats...
.....''

Ik weet niet of deze betreffende lek uiteindelijk is gemeld, maar het geeft aan dat dit in zekere mate structureel falen betreft. Dit mág simpelweg niet, ook niet bij een bedrijf dat op jaarbasis zeer veel verwerkingen op zich moet nemen. (en dus op het totaalplaatje het percentueel gezien nog meevalt t.o.v ander grootschalige verwerkers.) BSN-nummers op straat is gewoon een serieus risico voor die mensen.
LankHoar @WouterL15 augustus 2018 14:17
BSN-nummers op straat is gewoon een serieus risico voor die mensen.
En dat brengt ons weer naar het feit dat BSN gebruikt voor iets waarvoor het nooit bedoeld was (intern nummer bij de belastingdienst). Een dergelijk gevoelig persoonsgegeven zou niet op een identificatie document moeten staan, of anderszins publiekelijk gebruikt moeten worden.

Neemt overigens niet weg dat er fatsoenlijk mee omgegaan moet worden, ook (en misschien wel juist) door het UWV.
ATS @LankHoar15 augustus 2018 14:44
Nee, en wij zzp-ers zouden ook niet verplicht moeten zijn om het open en bloot op onze facturen te zetten... |:(
WouterL @ATS15 augustus 2018 14:52
Daar is de belastingdienst al gelukkig voor op de vingers getikt. Helaas, de Belastingdienst kennende, gaat het nog wel even duren voordat hier daadwerkelijk verandering in komt....
LankHoar @WouterL15 augustus 2018 15:14
Wat eigenlijk onterecht is, gezien dit nummer oorspronkelijk door de Bdienst in gebruik is genomen (en alleen bedoeld voor intern gebruik). Dat de overheid er toen het sofi en vervolgens BSN nummer van ging maken was niet hun keuze. Het is gewoon slecht in elkaar gezet, punt :)
WouterL @LankHoar15 augustus 2018 15:18
Ik zeg ook niet dat het de schuld van de belastingdienst is. De reden waarom ik het een goede zaak vind dat het stopt is omdat het een schrijnende situatie is voor ZZP'ers. En laten we vooral niet vergeten dat óók de belastingdienst 'de overheid' is.

[Reactie gewijzigd door WouterL op 23 juli 2024 00:08]

WouterL @LankHoar15 augustus 2018 14:27
Helemaal mee eens :)
TWyk @WouterL15 augustus 2018 15:52
maar het geeft aan dat dit in zekere mate structureel falen betreft
Het UWV meldde 84 datalekken in totaal in 2017
In totaal werden er 10.000 datalekken gemeld waarvan ruim 2000 door de overheid.
Sandor_Clegane @Horatius15 augustus 2018 13:08
Dit. Betere mailclient dan degene die ze nu hebben? "Hey je gaat 2400 gegevens mailen naar een aantal personen, weet je dat zeker?"

Beetje hetzelde als "je staat op het punt deze server te rebooten, type even de hostnaam in"

Voorkomt een hoop geneuzel.
SED @Sandor_Clegane15 augustus 2018 13:25
Dat zal een mailclient niet zien. Dan moet de bijlage niet alleen gescand worden maar zelfs beoordeeld vwb de inhoudelijke kant. Ondoenlijk en zeker onwenselijk.
Daarnaast is er geen bijlage meegezonden maar een link naar een werkmap met daarin het gewraakte bestand.
Sandor_Clegane @SED15 augustus 2018 13:48
Daarom zeg ik ook een betere mailclient.
Wim-Bart @Sandor_Clegane15 augustus 2018 14:13
Heeft niks met de mail client van doen. Je kan in Exchange Server dit soort zaken gewoon afvangen, waarbij je bijvoorbeeld mail weigert te verwerken waar bepaalde begrippen in voor komen. Het nadeel is, hoe kan zo een regel onderscheid maken tussen de tekst in een bijlage waarin staat: Gaarne uw BSN invullen op het formulier... Of in een bijlage een kolom tekst met de naam BSN.
Sandor_Clegane @Wim-Bart15 augustus 2018 14:15
Dat schrijf ik toch? Lees dat ze sharepoint gebruiken, maak er dan een workflow van.
SED @Sandor_Clegane15 augustus 2018 14:00
vertel.. welke?
Sandor_Clegane @SED15 augustus 2018 14:03
Geen idee, schrijf een plugin voor Exchange? Of maak voor dit een formulier zodat het niet via een mailclient gaat. Voor het geld dat UWV besteed aan ICT moet dit wel te doen lijkt me.

Mogelijkheden genoeg.
TigerHunt @SED15 augustus 2018 15:18
Exchange Online in combinatie met EM&S heeft hier een systeem voor. Zo kan je bijvoorbeeld patronen aangeven voor een creditcardnummer, BSN of iets anders. Ook kan je dan aangeven hoeveel keer een patroon moet voorkomen voordat de content geclassificeerd moet naar een bepaald level. Zo'n geclassificeerd document wordt dan in de gaten gehouden en kan je acties op laten starten wanneer er iets mee gebeurt. Dit kan ook ingesteld worden voor bijlagen bij e-mails, waardoor een e-mail niet verstuurd kan worden door de gebruiker.

Oplossingen zijn er al, maar ik zie het UWV (of andere overheidsinstellingen for that matter) niet als een instantie die dit soort zaken snel implementeert.
Proxx @Sandor_Clegane15 augustus 2018 13:24
voor een computer was die mail vast een gewone e-mail met een bijlage die 2400 regels bevatte daar gaan echt geen alarmbellen van rinkelen. dus die melding van Hey je gaat 2400 gegevens mailen gaat hem niet zo makkelijk worden,
Loekino @Horatius15 augustus 2018 13:07
Hallo blockketting
veltnet @Loekino15 augustus 2018 13:25
Het magische antwoord op alles...schijnt zelfs goed te zijn voor wereldvrede 8)7
stresstak @veltnet15 augustus 2018 13:53
Wat heb je aan wereldvrede en hoe lang zal die duren met vele duizenden ontevreden werknemers uit de dan overbodige wapenindustrie en aanverwante takken.
Blokker_1999
@Loekino15 augustus 2018 13:47
Hallo blockketting
Die had het probleem alleen maar erger gemaakt lijkt mij.
SMD007 15 augustus 2018 13:06
oeps! Foutje bedankt en weer door naar het volgende datalek. Menselijk falen is natuurlijk nooit te voorkomen, maar momenteel kom je er wel erg makkelijk van af om privé data op straat te gooien van mensen.

Als voorbeeld zou je kunnen verplichten dat bedrijven die een datalek hebben gehad een richtlijn moeten opstellen waarin ze beschrijven wat er aan gedaan gaat worden om het te voorkomen in de toekomst. Voorkom je het lekken nog steeds niet mee, maar bedrijven worden dan wel verplicht erover na te gaan denken.

[Reactie gewijzigd door SMD007 op 23 juli 2024 00:08]

lvdgraaff @SMD00715 augustus 2018 13:16
Misschien zou er gewoon een schadevergoeding moeten worden uitgekeerd bij lekken van informatie. 100 € voor email adres, 500 € voor BSN etc. Zou het lekken van informatie dan wat sneller als een serieus risico worden gezien?

Of bijvoorbeeld 10 jaar gratis toegang tot juridische bijstand in geval van identiteitsfraude?
Thijsmans @lvdgraaff15 augustus 2018 13:28
De Autoriteit Persoonsgegevens kan de organisatie al een boete opleggen, dus ik zie niet wat een aan de betrokkene uit te keren preventieve "schadevergoeding" (welke schade precies?) zou toevoegen. Voor de overtreder bestaat de financiële prikkel al.
scsirob @Thijsmans15 augustus 2018 14:17
Kosten UWV => Belastingbetaler
Kosten AP => Belastingbetaler
Kosten boetes => Belastingbetaler

Hoe gaat het helpen als de mensen die de fouten maken, er geen centje pijn van hebben?
Anoniem: 328026 @scsirob15 augustus 2018 15:19
De medewerkers van het UWV zijn ook belastingbetalers.
Dus ze zorgen er ook voor dat hun eigen belasting omhoog gaat.
Daarnaast wordt je binnen een bedrijf uiteindelijk afgerekend op financieel resultaat, ook bij het uwv. Een wijzend vingertje zet geen zode aan de dijk.

Veel schadevergoedingen die slachtoffers in een rechtszaak krijgen, worden uiteindelijk ook door de overheid betaald. (omdat de gedetineerde het niet kan opbrengen) Dus ook eigen belastinggeld.
latka @Thijsmans15 augustus 2018 13:40
In de USA heb je hele bedrijven die je helpen na identity theft een nieuwe identity op te bouwen (nieuwe CC, nieuwe rekeningen etc.). Omdat men niet aan kan geven wat er met de gegevens gebeurt is zou je eigenlijk nieuwe BSNs aan deze mensen moeten geven. Het regelen hiervan (en paspoort etc.) zou je dan moeten verhalen op de UWV. Eigenlijk zou de UWV deze kosten preventief al uit moeten keren. Het wijzigen van de BSN kan in NL wel maar niet zo eenvoudig. Deze regels zouden dan dus ook gewijzigd moeten worden.
MSalters
@Thijsmans15 augustus 2018 13:57
Wat @lvdgraaff voorstelt is een forfetaire schadevergoeding, precies om discussies te voorkomen over wat de concrete schade in een individueel geval is.

Overigens bestaat er voor overtreders geen financiële prikkel. Daarvoor zou er een concrete verwachting moeten bestaan dat de AP daadwerkelijk z'n werk doet. Momenteel is het een zuiver theoretisch risico.
AronB @lvdgraaff15 augustus 2018 14:31
In Nederland krijg je alleen schadevergoeding voor daadwerkelijk geleden schade. Jij hebt het eigenlijk over boetes en die kunnen al worden opgelegd, door de AP. Die boetes gaan echter naar de staatskas.
lvdgraaff @AronB15 augustus 2018 14:49
Je hebt natuurlijk helemaal gelijk, en het is waarschijnlijk maar goed zo ook. Het is misschien een beetje wishful thinking van mij dat die berichten over datalekken ooit nog eens een beetje goed nieuws zouden zijn, en de hoop dat de (potentiële) schade niet telkens bij consument/burger/klant ligt.
eborn @lvdgraaff15 augustus 2018 13:30
Ik vermoed dat overheidsinstellingen de partijen zijn die het meeste gevoelige informatie verwerken. Het is dan een beetje zinloos om boetes uit te gaan keren. Dat is een gevalletje vestzak broekzak.

Wat mij betreft mag er veel meer aandacht worden besteed aan identiteitsfraude en het voorkomen ervan. Het blijft belachelijk dat je blijkbaar met een BSN en wat andere gegevens opeens iemand zijn leven kan overnemen. Als dat niet het geval zou zijn, zou het lekken van een BSN meteen geen effect meer hebben.
stresstak @eborn15 augustus 2018 14:03
Het is dan een beetje zinloos om boetes uit te gaan keren. Dat is een gevalletje vestzak broekzak.
Geen boete. Bestraf de schuldige medewerker.
InsanelyHack @stresstak15 augustus 2018 14:42
Nee beschuldig de instantie om hun slechte procedures en controles. Een email kunnen versturen met een bijlage zou per default geblokkeerd moeten worden. Een bijlage mag en kan alleen maar verstuurd worden naar extern na een 4 ogen procedure of iets dergelijks. Veel te makkelijk om altijd de medewerker de schuld te geven. Hoe komt een medewerker überhaupt aan deze gegevens? De mogelijkheid om binnen zo'n instantie al dit soort excel lijstjes te mogen maken met deze informatie is al fout.
stresstak @InsanelyHack15 augustus 2018 15:25
Hoe komt een medewerker überhaupt aan deze gegevens? De mogelijkheid om binnen zo'n instantie al dit soort excel lijstjes te mogen maken met deze informatie is al fout.
Hij is administrateur. Het is zn werk vermoedelijk. En het was geen bijlage maar een link.
Erg link.
R4gnax
@eborn17 augustus 2018 18:33
Ik vermoed dat overheidsinstellingen de partijen zijn die het meeste gevoelige informatie verwerken. Het is dan een beetje zinloos om boetes uit te gaan keren. Dat is een gevalletje vestzak broekzak.
Hierbij moet je dan ook niet korten op het budget van de instelling in kwestie, maar het anders aanpakken. Bijv. een strafsom korten op het salaris van de beslissingsbevoegde ambtenaren.
Galan @SMD00715 augustus 2018 14:11
Ik zou eens gaan lezen wat bedrijven in deze gevallen moeten doen, misschien had je dan wat anders gepost.
Knee-Buckler 15 augustus 2018 13:10
Dus bij 1 persoon is wel de goede bijlage toegevoegd??

Dat zal dus betekenen dat ze handmatig alle 97 mensen een email sturen en handmatig de bijlages toevoegen... waarom op deze manier 8)7 of zie ik iets over het hoofd?
Anoniem: 221563 @Knee-Buckler15 augustus 2018 13:16
Vermoedelijk was het helemaal geen bijlage maar een dynamische link waarbij een variable niet goed geset werd. De eerste ging goed, 2e loop ging fout.

Maar goed, dat zijn aannames ;)
Knee-Buckler @Anoniem: 22156315 augustus 2018 13:17
maar dan nog,

het gaat dus om een algemene mail (aanname) die naar 97 mensen verstuurd zou moeten worden. Als je 1 mail maakt met een algemene aanhef.

De link toevoegt (de goede zoals naar de eerste gestuurd is) en dan naar alle 97 in een keer stuurt als Bcc zijnde dan ben je toch klaar..
Anoniem: 221563 @Knee-Buckler15 augustus 2018 13:33
Zulke mail zal niet via een mailclient als outlook zijn verzonden maar door een geautomatiseerd systeem o.i.d. om batch mails te verzenden. De links zelf zijn in dat geval dan persoonlijk, alleen de tekst zelf is hetzelfde.

Maar blijven aannames, ik heb de mails zelf niet gezien enz.
slaay 15 augustus 2018 13:13
Het lijkt me sterk dat het bij iedereen verwijderd is. Of hebben ze iemand langs gestuurd om daadwerkelijk te helpen met verwijderen?
Want er wordt veel automatisch opgeslagen in de cloud. En dan heb je nog kans dat als je huidige bestand verwijdert van je telefoon of laptop dat het dan alsnog in de cloud blijft staan.
En vaak denkt men door op 'verwijderen' te klikken dat het weg is, maar dan staat het in de prullenbak of bij de verwijderde items in het mailprogramma.
Een lek wordt vaak veel groter doordat een bestand zich razendsnel verspreid over allerlei zaken zoals Google Drive en andere cloud oplossingen.
thePiett @slaay15 augustus 2018 13:27
Het is geen bijlage die direct bij de e-mail zat, Myliobatis in 'nieuws: UWV laat privégegevens 2400 cliënten uitlekken door e-...
slaay @thePiett15 augustus 2018 14:41
Maar als iemand de bijlage gedownload heeft, dan blijft mijn verhaal stand houden.
thePiett @slaay15 augustus 2018 16:18
Klopt. En die staat dan ergens in ~/Downloads . Bijzonder verhaal als je die folder synced met een cloud dienst wat mij betreft.

Maar goed, al zou dat zo zijn, het scheelt in ieder geval dat het UWV de link inactief heeft kunnen maken. Naderhand kunnen mensen het bestand dan in ieder geval niet meer downloaden.

[Reactie gewijzigd door thePiett op 23 juli 2024 00:08]

SuperDre @slaay15 augustus 2018 18:51
Nee, blijkt dus weer gewoon tweaker clickbait titel/artikel zijn geweest...
wielhelm 15 augustus 2018 14:57
UWV weer in het nieuws.
Ze nemen het sowieso niet zo nauw met de wet op de privacy.
Afgelopen jaar een maandje werkeloos geweest. Nadat ik alweer een aantal maanden aan het werk was (zonder enige hulp van het UWV overigens) kreeg ik ineens een enquête formulier van 1 of ander HBO studentje. Wat blijkt het UWV mag je gegevens delen voor onderzoek.
Nou was ik echt wel blij hoor met mijn tijdelijke uitkering, maar na 20 jaar werken had ik daar naar mijn mening gewoon recht op. Daar hoeven ze naar mijn mening mijn gegevens niet voor te grabbel te gooien.
R4gnax
@wielhelm15 augustus 2018 20:40
Wat blijkt het UWV mag je gegevens delen voor onderzoek.
Nee, dat mogen ze helemaal niet.

De uitzondering verleend aan onderzoekers krachtens artikel 9.2 lid j) van de AVG doet enkel artikel 9.1 teniet, welke de verwerking van bijzondere persoonsgegevens verbiedt. Het doet niet artikel 6 te niet, dus het UWV moet nog steeds voldoen aan de grondslagen voor rechtmatige verwerking.

Zelfs als zij hierbij in een categorie vallen waarbij ze geen toestemming hoeven te vragen voor deze verdere verwerking, zijn ze krachtens artikel 13 nog steeds verplicht om jou vantevoren in te lichten over deze verdere verwerking, waarbij zij verplicht zijn om de volledige details te geven betr. het nieuwe doel van verwerking; evt. derde partijen die de gegevens gaan verwerken; etc. en verplicht zijn om jou in te lichten over al je rechten; incl. het recht om bezwaar te maken tegen deze verwerking dan wel toestemming voor de verwerking op een later tijdstip in te trekken.

De student in kwestie is ook fout bezig; krachtens artikel 14.3 waren zij verplicht om jou ten laatste op het eerste moment dat deze gegevens voor contact met jou ingezet werden, je dezelfde informatie te verstrekken.

Aangezien het hier een student betreft, is ook niet zonder meer bewezen dat deze zich aan benodigde waarborgen voor het correct beveiligd omgaan met deze gegevens zal hebben gehouden. Iets waar het UWV zich van moet hebben verzekerd alvorens ze de gegevens door mogen geven. Daar zullen ze dus hoogstwaarschijnlijk ook de fout mee ingegaan zijn...

[Reactie gewijzigd door R4gnax op 23 juli 2024 00:08]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq